Was ist ein EuropeanSSL ACME-Konto und wie werden SSL-Zertifikate abgerechnet?

Klassisch wurden SSL-Zertifikate von EuropeanSSL im Eunetic-Shop oder über die REST-API bestellt, per E-Mail oder DNS-Eintrag validiert und abschließend im PEM-Format als Dateianhang ausgestellt.

Mit Laufzeiten ursprünglich von bis zu 3 Jahren für SSL-Zertifikate war dieser in Teilen händische Aufwand vertretbar und üblich. Mit steigenden Sicherheitsanforderungen werden die möglichen Laufzeiten zunehmend kürzer, liegen aktuell bei einem Jahr und werden in absehbarer Zeit auf nur noch 90 Tage reduziert.

Damit führt zumindest für SSL-Zertifikate bald kein Weg mehr an einer möglichst umfassenden Automatisierung vorbei.

Dafür wurde das ACME-Protokoll (Automatic Certificate Management Environment) entwickelt und 2019 als neuer Standard eingeführt. Zertifikate werden über einen so genannten ACME-Client (welcher auf Ihrem Server installiert sein muss) angefordert, validiert, installiert und automatisch verlängert.

Trotz kurzer Zertifikatsgültigkeit ist somit nur eine einzige Bestellung erforderlich und Ihre Domain(s) erhalten automatisch bis auf Widerruf durchgehend ein gültiges SSL-Zertifikat.

Seit 2021 unterstützt ACME neben Multi-Domain-Zertfikaten auch Wildcard-Domains.

EuropeanSSL ACME-Konto

Damit Ihr ACME-Client Zertifikate anfordern kann, benötigen Sie ein ACME-Konto, welches die entsprechenden EAB-Zugangsdaten (External Account Binding) bereitstellt.

Ein solches Konto bestimmt ebenfalls darüber welcher Zertifikatstyp ausgestellt werden soll (DV = domainvalidiert, OV = unternehmensvalidiert) und in welchen Zeiträumen die Abrechnung erfolgt (1, 2 oder 3 Jahre mit Rabatten bei längeren Laufzeiten).

ACME-Konten können kostenlos eingerichtet werden. Kosten entstehen erst durch das Freischalten von Domainnamen. Damit Ihr ACME-Client zum Beispiel ein Zertifikat für www.ihredomain.de anfordern kann, müssen Sie diese Domain einmalig über den Eunetic-Shop oder die REST-API bestellen und damit für das ACME-Konto freischalten.

Sie können ohne Mehrkosten mehrere ACME-Konten anlegen um alle ihre Domains bzw. Zertifikate zum Beispiel nach Server oder organisatorischen Bereich zu kategorisieren und getrennt zu verwalten.

Falls Sie Ihren eigenen Kunden einen ACME-Zugang einrichten wollen, ist dies natürlich ebenfalls möglich.

Abrechnung von ACME-Domains

Freigeschaltete Domains können binnen 30 Tagen kostenfrei storniert werden.

Passiert das nicht, erfolgt eine Abrechnung im Voraus für die im ACME-Konto festgelegte Laufzeit. Nach Ablauf der 30 Tage ist keine Stornierung bzw. Kostenrückerstattung mehr möglich.

Da das ACME-Konto als übergeordnete Instanz die Laufzeiten aller enthaltenen Domains bestimmt, hängen die tatsächlich entstehenden Kosten vom Zeitpunkt der Domainfreischaltung ab:

• Mit der ersten freigeschalteten Domain beginnt die erste Laufzeit (z.B. 3 Jahre). Diese Domain wird für die vollen 3 Jahre abgerechnet.
• Wird zum Beispiel 6 Monate später eine weitere Domain bestellt, werden für diese nur noch anteilig 2,5 Jahre abgerechnet.
  

Sie können frei wählen, ob Sie eine automatische Verlängerung um eine weitere Laufzeit für Ihr ACME-Konto aktivieren möchten oder nicht.

• Bei aktivierter automatischer Verlängerung wird für alle noch im ACME-Konto befindlichen Domains die volle Laufzeit erneut abgerechnet. Für rechtzeitig aus dem Konto entfernte Domains entstehen keine weiteren Kosten.
• Ist keine automatische Verlängerung aktiv, wird das ACME-Konto deaktiviert und der ACME-Client kann keine Zertifikate mehr für die Domains abrufen. Eine manuelle Reaktivierung ist innerhalb von 3 Monaten nach Ablauf möglich, womit für alle im Konto befindlichen Domains eine volle Laufzeit abgerechnet wird.